nmask's Blog

所谓博客,都是孤芳自赏

  • 关于我
  • 琅琊榜
  • 安全导航
  • 留言
  • 归档
  • 分类
  • 标签
  • RSS
  • 公众号
  • 漏洞库
  • 热点
  • 搜索
  • 漏洞预警
  • web安全系列
  • 黑帽SEO系列
  • 渗透神器系列
  • 爬虫技术系列
  • Python编程系列
close


SQL WHERE IN参数化编译写法

发表于 2019-11-14   |   分类于 编程之道   |   热度 ℃

欲买桂花同载酒,终不似,少年游

  最近在一次使用sql中的where in语句时,造成了一些非预期的查询结果。尤其是在代码中去编写并执行sql语句时,会出现一些意外情况。再查阅了一些资料以及手动测试后,发现是自己sql语句写法存在问题,在此记录。
阅读全文 »

Django图片验证码

发表于 2019-10-25   |   分类于 编程之道   |   热度 ℃

愿你一生努力,一生被爱。想要的都拥有,得不到的都释怀

  在使用django开发web系统时,经常会遇到需要使用图片验证码的情况。django内置了这方面的模块—django-simple-captcha,使用起来非常方便,在此记录一下。
阅读全文 »

Python3.8新特性

发表于 2019-10-16   |   分类于 编程之道   |   热度 ℃

人生天地间,忽如远行客

  昨日Python3.8稳定版发布,官网发布了一篇介绍新特性的文章,在此记录一下。
阅读全文 »

记一次绕过后缀名限制的文件上传

发表于 2019-10-14   |   分类于 web安全   |   热度 ℃

人成各,今非昨,春如旧,人空瘦

  最近在做一次渗透测试过程中,发现了一处任意文件上传的绕过后缀名限制姿势,觉得还是比较好用的,在此记录以免遗忘。另外2016年的时候我专门汇总过一篇文件上传漏洞绕过姿势的文章,有兴趣的可以去阅读:文件上传漏洞(绕过姿势),本篇作为新增姿势的一个补充。
阅读全文 »

Windows远程桌面客户端代码执行漏洞(CVE-2019-1333)

发表于 2019-10-10   |   分类于 漏洞预警   |   热度 ℃

山谷悠悠,蝶舞翩翩,琴瑟和,仙音缭绕,轻歌曼曼,所谓此生不负

  2019年10月08日,微软例行发布了10月份的安全更新。此次安全更新总计包含59个CVE,其中高危漏洞9个,中危漏洞49个。目前官方表示,尚未发现本次修复的漏洞出现公开利用和研究的情况。在此次公布的59个漏洞中,CVE-2019-1333是Windows远程桌面客户端远程代码执行漏洞,攻击成功后允许攻击者在相应的用户权限下远程执行任意代码。
阅读全文 »

记一次利用00进行短信轰炸的渗透手法

发表于 2019-09-27   |   分类于 web安全   |   热度 ℃

月下的你不复当年模样

  最近在一次渗透测试过程中遇到了一个比较有意思的漏洞,可利用特殊字符构造手机号以绕过发送频率限制,进行短信轰炸。并且在RD同学改完后,仍然发现可被绕过,因此再次记录一番。(文中涉及站点的图片都已打码,只在分享渗透的思路)
阅读全文 »

动态爬虫神器-requests_html初探

发表于 2019-08-16   |   分类于 爬虫技术   |   热度 ℃

会在何处见到你,莫非前尘已注定

  今天凑时间研究了下requests_html模块,它是requests模块作者开发的另一款爬虫神器。此模块主要结合了xpath网页源码获取功能,以及pyppeteer网页动态渲染功能。后者方便我们获取js动态渲染的源代码,而前者方便从源代码中获取想要的内容。
阅读全文 »

【推荐】安全热点站+安全工具站

发表于 2019-08-16   |   分类于 安全工具   |   热度 ℃

乌兰巴托的夜 那么静 连风都听不到 我的声音

  最近利用闲来时间,开发了两款安全相关的平台。一款来源于日常渗透、CTF、开发中积累的安全工具平台;另一款来源日常阅读大佬文章,为了方便而开发的安全热点平台。希望将好的平台分享给大家,有助于提高工作、学习效率,有任何问题可以关注个人公众号并留言告知,多谢。
阅读全文 »

CTF加密与解密补充

发表于 2019-07-24   |   分类于 技术研究   |   热度 ℃

你的酒馆对我打了烊,子弹在我心头上了膛

  今天做了几道CTF加密解密题,在此贴一些CTF中常见的密码解密代码。由于之前总结过一些,详见:CTF加密与解密,因此本篇主要补充一些之前没提到的加密方式。
阅读全文 »

DOT/DOH服务探测识别

发表于 2019-07-09   |   分类于 网络安全   |   热度 ℃

不见归来 ,相思寄于山海!

  由于合规要求,我需要探测公司哪些主机上运行了DOT、DOH服务,而nmap暂时识别不出这两个服务指纹,无奈只能自己动手了。DOT即(DNS over TLS),DOH即(DNS over HTTPS),这两者都是DNS加密服务,由于我也是第一次接触它们,因此费了一番时间查阅资料,在此记录。
阅读全文 »

【摄影日记】西溪湿地

发表于 2019-07-08   |   分类于 摄影日记   |   热度 ℃

千顷蒹葭十里洲,溪居宜月更宜秋。黄橙红柿紫菱角,不羡人间万户侯。

  最近疯狂迷上了摄影,为此入手了一台sony的黑卡5,主要用于日常拍拍风景、拍拍妹子。对于摄影我目前完全是菜鸟级别,因此还谈不上分享摄影技术。遇到觉得拍得还可以的成片,我会借博客记录一番,当然有喜爱摄影的朋友也可以一道交流交流。
阅读全文 »

当子域名遇上搜索引擎

发表于 2019-07-01   |   分类于 安全工具   |   热度 ℃

用之则行,舍之则藏

  大概数月前我写了一个子域名扫描工具,期间用起来感觉还行,故打算作文分享一波。当然Github上优秀开源的子域名扫描工具很多,其原理不外乎:字典爆破、爬取第三方平台、爬取dns解析记录、利用搜索引擎、利用证书等。本篇不打算去做工具间的比较,主要用来分享一下如何利用百度搜索引擎去高效的搜集子域名。
阅读全文 »

Python代码加密混淆

发表于 2019-03-21   |   分类于 编程之道   |   热度 ℃

我多想再见你
哪怕匆匆一眼就别离

  python作为一种解释型语言,源代码加密本身比较困难。但有时候我们在发布一款python产品时又必须考虑到代码的加密性,以避免源代码泄露。为此,我查阅了一些资料,研究了几种python代码加密的常见方式,在此记录一下。
阅读全文 »

Python代码热重载函数reload

发表于 2018-11-27   |   分类于 编程之道   |   热度 ℃

我走过山时,山不说话,
我路过海时,海不说话,
小毛驴滴滴答答,倚天剑伴我走天涯。
大家都说我因为爱着杨过大侠,才在峨嵋山上出了家,
其实我只是爱上了峨嵋山上的云和霞,
像极了十六岁那年的烟花。

  代码热重载是在一个项目中比较常见的需求,尤其是在扫描服务的开发中,扫描插件的代码需要经常修整,因此如何做到插件代码能够热重载加载,而不是每次修改代码后需要重启服务就变得尤为重要。由于最近正好在一个Python项目中需要实现热重载需求,因此写了个python版的代码热重载demo,仅供参考。
阅读全文 »
12…13
nmask

nmask

风陵渡口

259 日志
14 分类
206 标签
RSS
GitHub 知乎 公众号 安全热点站
Creative Commons
友情链接
  • 草莓(软件破解)
  • warmeng(web安全)
  • chenjian(python开发)
  • phithon'Blog(离别歌)
  • 虾米'Blog
  • Rcoil'Blog
  • tom0li_blog
  • CYH博客
© 2016 - 2019 nmask
本站访客数人次 本站总访问量次